美国国防部(Department of Defense,DOD)周二(5/4)宣布,将扩大该部门的漏洞披露项目至所有可公开访问的DOD信息系统,从各式网站、基于频率的通信、IoT设备到工业控制系统等。
DOD的首个漏洞挖掘项目为2016年发布的“入侵国防部”(Hack the Pentagon)计划,当时的漏洞挖掘范围仅限于DOD旗下的公开网页,之后陆续扩大该项目至陆军、海军与国防部内部的IT系统,而今则延伸到所有可公开访问的DOD信息系统。
DOD表示,国防部的网站只是DOD所有攻击表面的一小部分,该扩张证明美国政府对安全的态度已然转变,也是DOD现有内部技术状态的大跃进。
此外,从美国国防部展开漏洞挖掘项目以来,受邀的安全专家已提交超过2.9万个漏洞报告,其中超过7成属于有效漏洞,成效卓著。
事实上,美国政府与国防部对安全的态度可说已提高到全新的层级,DOD始于今年4月通过HackerOne发布了“国防工业基地漏洞披露项目”(Defense Industrial Base Vulnerability Disclosure Program,DIB-VDP),而该项目主要是替DOD的承承包商漏洞挖掘,透露出DOD不仅要防范自家的网络遭受攻击,也正努力避免从供应链而来的攻击。
